IBM LOTUS DOMINO 9 部署SSL證書


前言

隨着SHA1算法在2016年12月31日以后,將被強制淘汰,所有新的SSL證書都必須支持SHA256算法,所以我們必須將IBM Domino Server升級到9.0以上才可以支持SHA256算法。同時,以前用來生成Kyr文件的iKeyman5 已經無法再為SHA256的證書服務了,IBM隨同Domino 9發布了一個Kyrtool的命令行工具。我們在Domino 9 下必須使用這個工具來完成證書格式的轉換。

 

查找中間證書

為了確保兼容到所有瀏覽器,我們必須在阿里雲上部署中間證書,如果不部署證書,雖然安裝過程可以完全也不會報錯,但可能導致Android系統,Chrome 和 Firefox等瀏覽器無法識別。請到  中間證書下載工具,輸入您的Server.cer,然后下載中間證書,請將中間證書保存為Chain.cer,請見根證書保存為Root.cer。

安裝kyrtool工具

首先請在一台已經安裝IBM DOMINO 9 的電腦上下載: kyrtool 1.1工具
解壓文件(kyrtool.exe)到c:\program files\ibm\domino ,即可准備使用。

制作Kyr文件

1、先生成一個新的kyr文件

 kyrtool =notes.ini create -k server.kyr -p password
 (請在命令行,c:\program files\ibm\domino目錄下運行,產生的server.kyr文件在c:\program files\ibm\domino\data目錄下)
2、將前面准備好的證書私鑰,服務器證書,中間證書,根證書復制到一個文件server.cer,順序如下:
第一段:私鑰
-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAmEodTcl16P01GbWg2Dr+1FR6Q4D85283ROi7U+eMi6Ex8fF+
IhtB9edaOfywKPgdw1rgCxOIh6kHiiqvZvRvIEacFu0qqBTJeyPmeg==
-----END RSA PRIVATE KEY-----
第二段:服務器證書
-----BEGIN CERTIFICATE-----
MIIGGzCCBQOgAwIBAgIQP3zt9jHcE2Eo63f6I16j+DANBgkqhkiG9w0BAQsFADBE
bcRr/RLp0ziC56tOErlDGmaj1wytlTwSxdG86YinsA==
-----END CERTIFICATE-----
第三段:中間證書 
-----BEGIN CERTIFICATE-----
MIIETzCCAzegAwIBAgIDAjpvMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT
QNaFHlHpURceA1bJ8TCt55sRornQMYGbaLHZ6PPmlH7HrhMvh+3QJbBo+d4IWvMp
zNSS
-----END CERTIFICATE-----
第四段:根證書
-----BEGIN CERTIFICATE-----
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
-----END CERTIFICATE-----

 

3、檢驗這個文件 (用命令行,cd到domino目錄下,kyr文件在.\data\目錄下)

 kyrtool =notes.ini verify .\data\server.cer

	KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 3 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
INFO: Final certificate in chain is self-signed

 4、 導入這個server.cer到 kyr文件

kyrtool =notes.ini import all -k server.kyr -i .\data\server.cekeytr

 5、 檢查這個server.kyr文件

  kyrtool =notes.ini show keys -k server.kyr
  kyrtool =notes.ini show certs -k server.kyr

 部署Kyr文件到Domino Server

1、將本地SSL密鑰環文件(.kyr和.sth 2個文件)復制或FTP到Domino服務器的數據目錄中。

2、對SSL密鑰環文件設置相應的權限,以確保Domino服務器可以訪問文件。 對於Windows,通常在將文件復制/粘貼到服務器時自動設置適當的權限。 對於IBMi / OS400,文件所有者應設置為QNOTES。 對於UNIX,將文件權限設置為擁有所有Domino服務器文件的相同所屬標識。

3、更新服務器文檔以使用適用於Web服務器配置的適當方法開始使用新的SSL密鑰環文件。 (要確認您是否使用Internet Site documents,請打開服務器文檔到Basic選項卡,並驗證字段“Load Internet configurations from Server\Internet Sites documents”的值,如果這里為啟用,您正在使用Internet站點文檔,這些文檔位於“ Configuration - Web - Internet - Sites”下的Domino目錄中。

a、 如果你不使用Internet Site documents,在服務器文檔中進入“Ports -> Internet Ports”。 在“SSL key file name”字段中輸入Kyr文件名。

b、如果您使用的是Internet Site documents ,找到需要創建SSL Kyr文件的internet Site documnets,然后選擇“Security"”選項卡,並將“Key file name”內容更新為已經創建好的Kyr文件(Server.kyr)。

4、確保服務器的SSL端口狀態在“Ports -> Internet Ports -> Web”設置為“已啟用”。

5、通過在Domino服務器控制台上發出命令“tell http restart”重新啟動HTTP任務。 如果其他任務需要使用密鑰環,請重新啟動這些任務。

FYI: https://www.myssl.cn/home/article-0403-41.html

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM